Znanost in tehnologija

Poudarki

  • Etično hekanje
  • Psihologija in tehnologija
  • Popolne anonimnosti ni
  • DDoS-napadi
  • Izsiljevalski kriptografski virusi
Ocena novice: Vaša ocena:
Ocena 4.7 od 89 glasov Ocenite to novico!
false
Za DDoS- napad in onemogočanje spletne stran MMC RTV Slovenija bi na črnem trgu plačali okoli 20 dolarjev na uro. Foto: Pixabay
       Počutimo se res tako, dejstvo pa je, da z vsako povezavo, ki jo kliknemo in vsako aplikacijo, ki jo obiščemo, o sebi izdamo celo kopico podatkov, in sicer od internetnega priključka do brskalnika, ki ga uporabljamo. Glede na zgodovino obiskanih strani nas potem lahko razvrstijo v ciljne skupine. Popolnoma čiste anonimnosti sicer ni, tudi če se skrivamo za kriptiranimi VPN-povezavami ali TOR-omrežjem (temna stran medmrežja, ki je brskalniki ne indeksirajo). Ameriški raziskovalci so pokazali, da na TOR-omrežju ni čiste anonimnosti, saj se z določenimi metodami, ki izkoriščajo ranljivosti programske opreme, da razkriti prave IP-naslove uporabnikov.       
 O anonimnosti na spletu
false
Etični heker Milan Gabor je kariero začel kot razvijalec programske opreme. Foto: Osebni arhiv Milana Gaborja
false
Izsiljevalskim hekerjem, ki z virusom zaklenejo računalnik, je treba pisati kot "reven študent" in se pogajati za minimalno ceno. Če na računalniku ni nič pametnega, zgolj sformatiraš. Foto: Pixabay
       Problem je, da so ljudje naivni, in dejansko je daleč največ uspešnih napadov izvedenih zaradi naivnosti. Tu ne igra tehnologija tolikšne vloge, ampak psihologija. Napadalci izkoriščajo to, da smo ljudje sprogramirani tako, da zaupamo določenim tipom oseb. Klasika, na katero najpogosteje "vsi padejo", so različni zadetki in nagrade oziroma nekaj, kar je osebi v interesu. Če vem, da ste oboževalec neke pasme, boste zelo hitro kliknili na priponko neverjetne pasje razstave, ki jo mora nujno vsak videti.       
 Pri hekanju je psihologija pomembnejša od tehnologije
false
Google zbira o nas podatke in profilira naše navade, da nam lažje servira reklame. Foto: AP
       Dejansko življenja brez spleta že danes ni več, biti brez Googla si težko predstavljamo. Kdo pa še gre v enciklopedijo pogledat? Težava, ki jo bo v prihodnosti treba rešiti, je povezljivost vseh naprav. Obeta se, da bo do leta 2020 50 milijard naprav povezanih v splet, vsak jih bo imel doma 20 ali 30. Več kot jih bo, večja bo potencialna površina hekerskih napadov. Zanimivo bo postalo, ko bodo mikrovalovke napadale FBI, toaster bo streljal po kitajski vladi, hladilnik pa bo grafite pisal na spletni strani predsednika Slovenije.       
 O digitalni prihodnosti
false
Pornografijo odstranijo algoritmi samodejno, pri sovražnem govoru ali nasilju pa morajo zadeve "ročno" pregledati Facebookovi uslužbenci najverjetneje nekje v Indiji, kjer nihče ne razume slovenščine. Foto: Reuters
       Obstajajo sicer določeni triki, na primer pogajanje s pomočjo računa na gmailu. Če na primer uspešno okužijo in zaklenejo računalnik na RTV Slovenija, na pogajanja ne smeš prek RTV-spletne pošte. Ustvariti je treba neki poštni naslov na gmailu in jim pisati kot "reven študent". Tako lahko izpogajaš izredno nizko odkupno ceno, saj oni nimajo pojma, čigav računalnik so okužili, nikakršna povratna informacija ne obstaja. Nekaj podjetjem smo na ta način svetovali in so se izredno ugodno izpogajali.       
 O pogajanju s hekerji
false
Če računalnik odklopimo s spleta, postane precej neuporaben kos železa. Foto: Reuters
       Pri DDoS-napadu ne gre za hekanje, ampak zgolj onemogočanje delovanja storitve s preobremenitvijo. Kot če bi v Ljubljano pripeljali dva milijona ljudi in jo ohromili, nihče ne bi mogel več priti nikamor. Takšni napadi so lahko zelo poceni, na črnem trgu bi za napad in onemogočanje spletne strani rtvslo.si plačali od 10 do 20 dolarjev na uro. Tudi takšen posel je lahko zadaj, RTV na primer z velikim pompom oglašuje neko oddajo, konkurenca pa gre in plača sabotažo spletne strani ravno takrat.       
 O DDoS-napadih
false
Do leta 2020 naj bi bilo v splet povezanih 50 milijard različnih naprav. Foto: false
false
Psihologija je pomembnejša od tehnologije, saj je večina napadov izvedena zaradi naivnosti ljudi. Foto: EPA
       Z določenim manjšim znanjem se da marsikaj izklopiti in Google teh podatkov ne dobiva, je pa res, da večina ljudi o tem sploh ni podučena oziroma o tem sploh ne razmišljajo, to je največji problem. Klikajo yes, yes, yes, next ...       
 O Googlovem zbiranju podatkov
false
V Sloveniji, Evropi in ZDA manjka na tisoče strokovnjakov s področja informacijske varnosti. Foto: Reuters

Dodaj v

Etični heker: Največji problem so ljudje sami, ker brez razmisleka klikajo da, da, da, naprej ...

Popolne anonimnosti na medmrežju ni niti na "temni strani"
27. februar 2017 ob 07:53
Ljubljana - MMC RTV SLO

"Napadi v polomljeni angleščini ne bodo uspešni, če pa nas napadalec naštudira s pomočjo družbenih omrežij, se lahko zdi, da sporočilo prihaja kar od šefa v službi, in ko klikneš na priponko, je konec."

Tako je strokovnjak za kibernetsko varnost Milan Gabor opisal enega izmed načinov, kako nas hekerski nepridipravi preslepijo in kako jim sami odpremo vrata do svojega računalnika in vseh podatkov.

Milan Gabor je karierno pot začel kot razvijalec programske opreme v Švici, nato je dva meseca nabiral izkušnje v HP-jevih laboratorjih v Kaliforniji, potem pa se je vrnil v ljubljanski Softlab in kot razvijalec delal še nadaljnjih sedem let. Končno je imel "vsega dovolj" in je ustanovil lastno podjetje Viris, ki se ukvarja z informacijsko varnostjo. Etični hekerji so po njegovih besedah v veliki večini kariero začeli kot "sistemci", saj ti začetek na "temni strani" močno oteži skok v zakonite vode.

Etični heker je strokovnjak za kibernetsko varnost, ki vdira v sisteme, da bi poiskal varnostne luknje in izboljšave, takšnih strokovnjakov, ki so po vrhu še zanesljivi in nekaznovani, pa je po Gaborjevih besedah izredno malo, tako da ima pri širjenju podjetja in zaposlovanju kar precejšnje težave. Dela imajo ogromno, saj se med njihovimi naročniki znajdejo številna podjetja in banke tako doma kot v tujini kot tudi institucije javne uprave. Za novega naročnika, ki bi poklical ta hip, tako ne bi imeli časa nekje do maja. Strokovnjakov ne primanjkuje le v Slovenji, ampak tudi po Evropi in ZDA, in to v tisočih, je opozoril in dodal, da bi morala tudi Fakulteta za računalništvo informacijski varnosti posvetiti študijsko smer.

Vprašanju, ali bi lahko intervju imela kar v prostorih podjetja Viris, se je Gabor nasmejal in odvrnil, da nihče ne sme v prostore podjetja, niti njihovi naročniki ne. Glede na to, da se ukvarjajo z informacijsko oz. kibernetsko varnostjo, so tudi sami pogosto tarča napadov. "Napade vidimo, ali gre za našo konkurenco ali ne, je težko reči, saj svoje napade skrivajo, vemo, v kakšnem poslu smo, in imamo ustrezno poskrbljeno za zaščito," je dejal.

Kdo je pohekal Ajpes?
S sogovornikom za začetek nisva mogla mimo Agencije Republike Slovenije za javnopravne evidence in storitve (Ajpes), ki je bila pohekana v začetku meseca, na kulturni praznik. "Napadalci so odkrili eno izmed najbolj tipičnih pomanjkljivosti spletnih aplikacij, ki je na seznamu najpogostejših kritičnih ranljivosti na prvem mestu, posledično pa je bilo mogoče priti do osebnih podatkov ljudi iz registra prebivalstva, kot so EMŠO in davčne številke, ki jih hrani Ajpes. Če bi šlo samo za nekakšne finančne podatke podjetij, problem ne bi bil tako velik," je opisal, kaj se je zgodilo. Šlo je za "osnovnošolsko" napako v obliki varnostne pomanjkljivosti spletne aplikacije, ki naj je načeloma ne bi bilo, je dodal.

Ajpes je v sporočilu za javnost sicer zapisal, da niso zaznali indicev, ki bi kazali na to, da bi dejansko prišlo do nedovoljenega prevzema podatkov ali zlorabe osebnih podatkov iz podatkovnih zbirk, ki jih upravlja Ajpes. Namen napada naj bi bil opozoriti institucije javnega sektorja na ranljivosti v programski opremi, zgodbo pa je pompozno objavil eden izmed slovenskih medijev.

A način razpletanja zgodbe prek medijev ni pravi. Etični hekerji ne smejo "bombastično" udariti prek medijev, ker prav to lahko povzroči množične zlorabe, ampak se na varnostne luknje diskretno opozori, v tem primeru Ajpesu, da problem rešijo. Zadeva se lahko javno objavi pozneje, je komentiral Gabor in dodal, da načeloma etični heker, ki nima slabih namenov, svoje identitete ne skriva za različnimi kriptiranimi povezavami, kar naj bi se v primeru napada na Ajpes prav tako zgodilo. "Za sebe lahko povem, da sem prijavil že veliko ranljivosti državnim in drugim organizacijam, nismo pa nikoli šli v javnost s tem. Res gre za osebne podatke državljanov, a obstajajo manj "napihnjeni" načini reševanja," je pojasnil.
_________________________________________
Kaj je glavna značilnost etičnega hekerja in katera je bila največja "riba", ki ste jo uspešno pohekali?
O ribah zelo težko govorimo, problem je, ker smo kot duhovniki, ki vedo za grehe vseh, a jih ne smejo javno povedati. Povem lahko le to, da smo odkrili določene pomanjkljivosti spletnih aplikacij, ki so vsebovale izjemno veliko osebnih podatkov Slovencev, sledila je odgovorna prijava incidenta Sl-CERT-u (Slovenian Computer Emergency Response Team), ki je nato koordiniral odpravo varnostnih lukenj. Vse brez medijskega pompa, šlo pa je za enega največjih slovenskih primerov, kot nedavni primer Ajpesa. Redno varnostno preverjamo in etično hekamo svoje stranke, podjetja in storitve, ki jih uporablja na tisoče Slovencev, od bančništva naprej.

Vse ranljivosti, ki jih prijavimo, vedno prihajajo z našega IP-ja, če bi zdajle vaš domači wifi ali strežnik pohekali in sporočili varnostno luknjo, bi v logih videli IP-naslov podjetja Viris. To je glavna razlika med etičnimi in kvazietičnimi hekerji. Napad na Ajpes naj bi prišel skrit za kriptirano VPN-povezavo, a zakaj, če so res imeli dobre namene. Najdeš varnostno luknjo, jo diskretno prijaviš, ne pa razbobnaš medijem. Ali so hoteli slavo, promocijo ali izboljšati varnost Ajpesa?

Povprečen uporabnik spleta se skrit za zaslonom počuti precej pogumnega, anonimnega in varnega, pa je res tako?
To je zgolj navidezna resničnost. Počutimo se res tako, dejstvo pa je, da z vsako povezavo, ki jo kliknemo, in z vsako aplikacijo, ki jo obiščemo, o sebi izdamo celo kopico podatkov, in sicer od internetnega priključka do brskalnika, ki ga uporabljamo. Glede na zgodovino obiskanih strani nas potem lahko razvrstijo v ciljne skupine. Popolnoma čiste anonimnosti sicer ni, tudi če se skrivamo za kriptiranimi VPN-povezavami ali TOR-omrežjem (temna stran interneta, ki je brskalniki ne indeksirajo). Ameriški raziskovalci so pokazali, da ni čiste anonimnosti na TOR-omrežju, saj se z določenimi metodami, ki izkoriščajo ranljivosti programske opreme, dajo razkriti pravi IP-naslovi uporabnikov.

VPN-povezava res skrije naš IP, a podatki se vseeno nekje hranijo, čeprav nekateri ponudniki VPN-jev obljubljajo, da ne hranijo ničesar, verjetno čisto anonimni nismo nikoli. Vedno se vidi povezava do ponudnika medmrežja. Tudi če greste v McDonaldsu na njihov wifi, ste anonimni, čeprav vas ulične kamere posnamejo, ko prihajate ven. Skrijete se danes lahko, samo če računalnik odklopite s spleta, a potem postane dokaj neuporaben kos železa.

Google ve in vidi vse, po pametnem telefonu celo to, kje se gibljemo. Kje se bo to končalo?
Zagotovo je zbiranje informacij o čim več ljudeh velik interes podjetij, kot je Google, saj ima moč tisti, ki ima informacije. Tako nam lažje s profiliranjem ljudi in njihovih navad servirajo reklame. Z veliko verjetnostjo lahko ugotavljajo tudi, kje so ta hip, kaj delajo in ne nazadnje kdo so.

Brez Googlovega računa na drugi strani je androidni telefon bolj ali manj neuporaben, tako da je vedno treba tehtati med zasebnostjo in uporabnostjo. Z določenim manjšim znanjem se da marsikaj izklopiti in Google teh podatkov ne dobiva, je pa res, da večina ljudi o tem sploh ni podučena oziroma o tem sploh ne razmišljajo, to je največji problem. Klikajo yes, yes, yes, next ... (da, da, da, naprej ...)

Googlovi podatki so zanimivi tudi za organe pregona.
Organi pregona bi si gotovo želeli, da bi vedeli, kje se kdo giblje, čeprav zakonodaja v Sloveniji kaj takšnega precej onemogoča. Vem za primer, ko se je nekje zgodil kriminal in so hoteli zajeti podatke, kdo vse je tam bil. Ker je bilo ponoči, veliko ljudi tam ni bilo, a so tako sodišče kot informacijski pooblaščenec dejali, da gre za nesorazmeren poseg v človekovo intimo.

Znani so primeri, ko Facebook, še posebej, ko gre za primere sovražnega govora, na zahteve policije odgovarja s smeškom :).
Če izpostavim primer brutalnega pretepa mladega fanta na Dolenjskem, ki je ostal objavljen več ur, se je treba zavedati, da takšnih stvari algoritmi ne prepoznajo samodejno kot v primeru pornografskih vsebin, ampak mora nekdo vse to ročno pregledati. Vedeti je treba tudi, da to pregledujejo ljudje najverjetneje nekje v Indiji, ki sploh ne razumejo slovenskega jezika in pravzaprav ne vedo, kaj gledajo, potem pa se morajo odločiti, ali je to primerno za objavo ali ne. Podobno je z osebnimi podatki, kako naj vedo, da je številka EMŠO pomemben osebni podatek v Sloveniji. To so izzivi, ki jih je prinesla globalizacija.

A problem nista toliko Google ali Facebook, ki omogočata platformo, ampak ljudje, ki takšne stvari objavljajo. Zaveden uporabnik pazi, kaj bo objavil in delil z javnostjo, nekateri pa objavljajo vse: Gremo na dopust! Ko pridejo nazaj, je prazno stanovanje in se čudijo, zakaj.

Zaradi katerih "neumnosti" so ljudje najpogostejše žrtve hekerskih napadov?
Problem je, da so ljudje naivni, in dejansko je daleč največ uspešnih napadov zaradi naivnosti. Tu ne igra tehnologija tolikšne vloge, ampak psihologija. Napadalci izkoriščajo to, da smo ljudje sprogramirani tako, da zaupamo določenim tipom oseb. Klasika, na katero najpogosteje "vsi padejo", so različni zadetki in nagrade oziroma nekaj, kar je osebi v interesu. Če vem, da ste oboževalec neke pasme, boste zelo hitro kliknili na priponko neverjetne pasje razstave, ki jo mora nujno vsak videti.

Tako na posameznika merijo usmerjeni napadi. Na milijone napadov v polomljeni angleščini ne bomo kliknili, če pa se nekdo poglobi, vzame čas in nas naštudira s pomočjo družbenih omrežij, lahko ustvari zelo dober vektor napada, za katerega se celo zdi, kot da je sporočilo poslal naš šef v službi, dekle ali prijatelj, in takrat bomo gotovo kliknili na priponko, ko pa ljudje enkrat kliknejo, je game over (konec igre).

Potem pomaga samo še formatiranje računalnika?
Odvisno od tipa napada, saj je odvisno, kakšne vse tehnike za zagotavljanje prisotnosti (persistency) so uporabili in kam vse se virus naseli. Lahko gre v vaše dokumente, in tudi če sistem formatirate, pride virus nazaj s pomočjo kakšnega zunanjega diska, če imate dokumente na Google Docs ali pa se naselijo v druge naprave znotraj vašega omrežja in tam živijo naprej.

Kako uspešni so antivirusni programi in kateri napadi so najbolj škodljivi?
V večini primerov poberejo okoli 95 odstotkov splošnih napadov, a če vas nekdo ciljno napade, ga antivirusni program ne bo zaznal. V takšnih primerih je treba imeti sofisticirano strojno in programsko opremo, ki bo takšen način napada zaznala. Za množične napade so antivirusni programi načeloma za navadnega uporabnika dovolj, a bolj kot programska oprema je tu ključno zavedanje uporabnikov, da ne smejo preveč klikati, ko nekje piše "click here" (klikni tukaj), ne klikneš.

Priponke v spletni pošti so lahko veliko bolj škodljive kot napadi preko spletnega brskalnika. Če nekoga napademo na ta način, moramo vedeti, kateri brskalnik in katero verzijo ima, a je že posodobil brskalnik ali ne. Wordova ali kakšna druga okužena datoteka, ki jo žrtev zažene, je tako gotovo najlažji način, da se pridobi dostop do računalnika.

Najodmevnejši so večji DDoS-napadi, kako pogosti so in kakšno škodo lahko povzročijo?
V zadnjem času so zelo pogosti, v napadih pa sodelujejo številni računalniki t. i. zombiji, strežniki pa tudi male kamere in druge okužene naprave, povezane v splet, ki zgenerirajo ogromne količine podatkov in jih pošljejo v svojo tarčo. Pri DDoS-napadu ne gre za hekanje, ampak zgolj onemogočanje delovanja storitve s preobremenitvijo. Kot če bi v Ljubljano pripeljali dva milijona ljudi in jo ohromili, nihče ne bi mogel več priti nikamor. Takšni napadi so lahko zelo poceni, na črnem trgu bi za napad in onemogočanje spletne strani rtvslo.si plačali od 10 do 20 dolarjev na uro. Tudi takšen posel je lahko zadaj, RTV na primer z velikim pompom oglašuje neko oddajo, konkurenca pa gre in plača sabotažo spletne strani ravno takrat.

Takšni napadi sicer ne trajajo dolgo, tedne ali dneve, ker se da napad z določenimi zaščitnimi mehanizmi onemogočiti. Dogovoriti se je treba s ponudnikom medmrežnih storitev, ki onemogoči takšen napad, a vztrajen napadalec bi lahko sprožil nov napad po drugi poti.

Kakšno prihodnost napovedujete torrentom, bo zakonodajalcem uspelo v tem boju z mlini na veter?
Zagotovo bi bilo treba ozaveščati ljudi, da piratiziranje pomeni krajo. V tujini, ko se pogovarjaš z Američani ali drugimi Evropejci, je miselnost ljudi precej drugačna. To, da snamete film s torrnetov, je, kot da bi šli v trgovino in film ukradli, prvo stvar boste naredili brez premisleka, drugo pa ne, eno je kul, drugo vam pa niti na misel ne pade, da bi pod plašč stlačili devede zadnjega filma in ga odnesli ven. Piratiziranja se sicer nikoli ne bo dalo povsem zatreti, da bi bilo nekoč vse samo zakonito, je utopija.

Zadnje čase razsaja izsiljevalski virus, ki zaklene računalnik, nepridipravi pa nato zahtevajo odkupnino ...
Klik na povezavo, na datoteko ali kar koli, pa se kriptografski virus sproži. Večino jih je zelo težko oziroma skoraj nemogoče shekati ali odkleniti, ker uporabljajo res napredne metode kriptografije. Najlažje je plačati odkupnino, če so podatki vredni tega, če niso, sformatirate računalnik, pa je rešeno.

Svetujem, naj se ljudje pogajajo, saj se da dogovoriti za veliko manj od zahtevanega. Rečeš, da si ubogi študent, in se dejansko da pogajati, ker oni so preprodajalci, čeprav so računali na tri, rajši dobijo en bitcoin kot nič. Ljudje veliko sprašujejo, ali jim bodo res odklenili računalnik, če plačajo. Seveda bodo, to je njihov tržni model, če ne bi odklepali, ne bi nihče več plačal.

Obstajajo sicer določeni triki, na primer pogajanje s pomočjo računa na gmailu. Če na primer uspešno okužijo in zaklenejo računalnik na RTV Slovenija, na pogajanja ne smeš prek RTV-spletne pošte. Ustvariti je treba neki poštni naslov na gmailu in jim pisati kot "reven študent", tako se lahko dogovoriš za izredno nizko odkupno ceno, saj oni nimajo pojma, čigav računalnik so okužili, nikakršna povratna informacija ne obstaja. Nekaj podjetjem smo tako svetovali in so se izredno ugodno dogovorili.

Kdo je najpogostejša tarča hekerskih napadov, so to spletne banke?
Uradno vdorov v banke ni, vem pa za številne poskuse, a jih ne bodo uradno priznali. Banke so nenehno pod napadi, saj gredo napadalci tja, kjer je denar. Na vaše računalnike gotovo ne bodo šli, ker novinarji RTV-ja ne dobivajo bajnih plač. Naslednje leto sicer začne veljati direktiva, da bodo banke zavezane vse uspešne vdore prijavljati, kar trenutno niso. Slovenske banke, s katerimi smo sodelovali, imajo gotovo najvišjo raven zaščite v primerjavi z drugimi akterji pri nas, kot so gospodarske družbe itd.

Najvarnejši sistemi niso povezani v svetovni splet, na primer jedrske elektrarne. Kako se hekerji lotijo takšnih sistemov?
Okužbo izvede fizična oseba, ki prinese USB-ključek ali računalnik od zunaj in ga priklopi v omrežje zaprtega sistema. Nekoč je bolj veljalo, da so sistemi, kot je jedrska elektrarna, popolnoma ločeni. V sodobnem času se na drugi strani vse več dela na daljavo. Zakaj bi sistemci, ki zadeve krmilijo, morali hoditi fizično tja, če lahko vzame telefon ali tablico in poklika ter reši problem. Iz čistega udobja tudi takšni sistemi postajajo vedno bolj povezani, in to postaja problem. Izjema so res najbolj kritični deli.

Napadi se v praksi dogajajo tako, da bodo napadli tistega človeka, ki se hvali po Facebooku, da popravlja računalnike v jedrski elektrarni. On bo potem okuženi računalnik prinesel v jedrsko elektrarno in ga priklopil na njeno omrežje.

Slovenija bo težko imela ogromno tankov in drugega železja, morda pa bi lahko imela najboljšo kibernetsko enoto? Je premajhna tudi za kaj takega?
Za uspešno kibernetsko enoto bi potrebovali samo nekaj deset ljudi, ki so visoko motivirani in imajo odlično tehnološko znanje ter ustrezno visoko plačo, a vsaj nekaj od teh pogojev pri nas ni izpolnjenih. Vojski takšen kader načeloma hitro uide, ker lahko v realnem sektorju zaslužijo bistveno več.

Vedno več naprav je povezanih v splet. Se nam nasmiha utopična prihodnost, ko bo vse delovalo samo še po spletu?
Dejansko življenja brez spleta že danes ni več, biti brez Googla si težko predstavljamo. Kdo pa še gre v enciklopedijo pogledat? Težava, ki jo bo v prihodnosti treba rešiti, je povezljivost vseh naprav. Obeta se, da bo do leta 2020 50 milijard naprav povezanih v splet, vsak jih bo imel doma 20 ali 30. Več kot jih bo, večja bo potencialna površina hekerskih napadov. Zanimivo bo postalo, ko bodo mikrovalovke napadale ameriški FBI, toaster bo streljal po kitajski vladi, hladilnik pa bo grafite pisal na spletni strani predsednika Slovenije.

Gorazd Kosmač
Prijavi napako
Komentarji
Vipavec
# 27.02.2017 ob 08:02
Čestitam za odličen prispevek g. Gorazdu.
Takih prispevkov je odločno premalo v vseh naših medijih.
rjaklic
# 27.02.2017 ob 09:42
Še bolj bizarno pa je, da je članek objavljen na spletni strani, ki nima niti HTTPs-ja za prijavo uporabnikov.
evropa
# 27.02.2017 ob 08:33
Se pridružujem mnenju.

Več prispevkov in sodelovanj s takimi strokovnjaki, bolj bo informirana / izobražena splošna javnost.
Grommm
# 27.02.2017 ob 08:16
Odličen članek!
Hvala!
Zaključek je res mega.

Jaz bi le predlagal, da hladilnik ne bi samo pisal grafitov po spletni strani predsednika RS, ampak bi ga ob prvi bedariji enostavno prepovedal in avtomatično zamenjal s podpredsednikom. Pa da vidimo potem našega multipraktika ... v desetih minutah bi bil enostavno prepovedan.

Sledilo pa bi 3/4 parlamenta.

Tuji mediji bi takoj pozabili Erdogana in Butale bi postale svetovno znane po zgobi "Hladilnik izvaja čistke v butalskem parlamentu".
:o))))
ElTorro
# 27.02.2017 ob 08:22
Ali pa ko bodo naenkrat izginile vse ribe, vsaj začasno, brez množičnega pogina. Takrat bo jasno, da imamo ušivo zasnovo življenja.

Mislim....
Knight Kant
# 27.02.2017 ob 09:55
Največji problem so ljudje sami, ker brez razmisleka klikajo da, da, da, naprej ...
-----------

In nestrokovnjaki to počnejo, ker jim nihče ne pove, da to ni varno. Pravzaprav jih strokovnjaki vztrajno prepričujejo prav v nasprotno.

Ljudje se pač obnašajo v skladu s tisto reklamo, s katero naša največja banka prepričuje svoje komitente v praktičnost brezstičnih kartic. V tej reklami komitent banke pritrdi svojo bančno kartico psu na ovratnico, da si lahko sam hodi kupovat pasjo hrano, saj mu po novem ni treba niti odtipkati varnostne PIN kode.

Jaz nikakor ne razumem prednosti brezstične kartice. Pri plačevanju s klasično čip kartico, le-to vtaknem v režo, da imam roke proste za vnos varnostne kode. Tako odlagališče za kartico je pri brezstičnih karticah postalo nepotrebno, uporabniški model, kakšnim predpostavkam mora biti zadoščeno, da je plačilo izvršeno, pa so postale precej neopredeljene.

Meni je brezstična kartica v žepu, skupaj z novim prailom o plačevanju malih zneskov brez PIN kode od samega začetka predstavljalo varnostni rizik, sedaj nas strokovnjaki opozarjajo na nove možnosti zlorabe bančnega poslovanja, pri katerih nam (ali našemu psu) nepridiprav lahko kar na cesti s prenosnim terminalom brezstično seže v žep in izprazni transakcijski račun. O tem je bil nedavno članek na MMC.

Kdo od nas te možnosti ni predvidel že ob prvem ogledu tiste morbidne reklame z bančno kartico na pasji ovratnici? Bančni varnostni strokovnjaki izgleda da ne! Ali je dandanes sploh možno dobiti ne-brezstično kartico? Kdo je potem odgovoren za zlorabe?
GupeM
# 27.02.2017 ob 10:17
@Knight Kant:

Brez PIN kode lahko plačaš največ 15€. Če je znesek večji, je potrebno vnesti PIN kodo, čeprav plačaš brezstično. Poleg tega ti bo banka teh 15€ vrnila, če boš povedal, da je šlo za krajo. Večina ima tako ali tako vključen varnostni SMS in takoj vidiš, da se dogaja nekaj sumljivega.

Če te je še vedno strah, v denarnico daj ALU folijo, in preko denarnice ti nihče ne bo mogel pobrati denarja. Že če nimaš ALU folije v denarnici, je kar težava prebrati preko denarnice. Sem se igral s tem, pa ne prebere kar tako. Moraš imeti res srečo, da ravnoprav prisloniš kartico. Če je denarnica obrnjena tako, da bereš "preko" žepka s kovanci in imaš v tem žepku vsaj nekaj kovancev, bojo spet težave.

Tole brezstično plačevanje ni tak bav-bav kot ga nekateri želijo prikazati. Predvsem zaradi omejitve 15€.

Mi je pa zelo všeč, da lahko brezstično plačam malico v menzi.
1. ne rabim drobiža, niti ga ne rabijo na blagajni če ga jaz nimam
2. gre veliko hitreje, ker ni potrebno vnašati pina
3. ko za mano stojijo lačni ljudje, ki bi me najraje pohodili, ker se jim tako mudi, mi ni treba vnašati PIN številke in je ne morejo videti
seven7
# 27.02.2017 ob 09:39
@samogledam

Točno to. Račuanlnik je v pomoč če ga uporabljaš pametno.

Tega pa danes skoraj nihče več ne počne.
21.12.2012
# 27.02.2017 ob 09:23
Super intervju. Razumljivo in nazorno. Mr. Robot.
21.12.2012
# 27.02.2017 ob 12:56
Včeraj ponoči opravil 4 enake nakupe za 17 eur v roku nekaj minut. Zjutraj že klic iz bančnega oddelka za preprečevanje goljufij. So kar na preži očitno.
Emsho
# 27.02.2017 ob 11:47
@rjaklic
Še bolj bizarno pa je, da je članek objavljen na spletni strani, ki nima niti HTTPs-ja za prijavo uporabnikov.

Točno to. Sem jim pisal pred parimi leti, pa ni bilo odgovora, kaj šele popravka. Je težko dat 30€ za SSL certifikat :-)

Nasploh je varnost podatkov in odgovorno obnašanje na spletu v državnih inštitucijah porazna. Jaz dobro poznam zdravstvo in tu imamo opravka z najbolj občutljivimi podatki, varovanje teh podatkov je pa na psu. Zaposleni brez razmišljanja pošiljajo po majlih izvide, diktate izvidov ali fotografije pacientov, shranjujejo datoteke na dropboxu ali lokalno vsepovsod, gesla za dostope pa so zapisana po monitorjih :-)

Kaj je bilo s TETRO v policiji vemo, po drugi strani policija nezakonito uporablja naprave nadzora (IMSI catherje). Norvežani in nemci so svojim že stopili na prste, pri nas se o tem sploh ne govori.
Svetovni mediji so že večkrat poudarili, da pri vsem tem množičnem nadzorovanju ne gre za dodano vrednost začite predivalstva, ampak za gospodarko špijonažo in kontrolo množic.

Navaden uporabnik seveda nima prav dosti možnosti...ali živi brez tehnologije nekje v gorah, ali pa si stalno sleden in beležen v NSA in GCHQ serverjih, če bi se kasneje izkazalo za uporabno (za karkoli že).

Mimogrede...pred kratkim je bil opravljen prispevek o tem, da imajo v Kranjski gori in na Voglu sistem preverjanja imetnikov kart, kjer te vsakič ob vstopu na vlečnico/sedežnico posname kamera. Javnost je to sprejela povsem mirno.
Baje je za varnost poskrbljeno - svetujem temu gospodu, etičnemu hackerju, da poskuša priti do fotografij. Predvidevam, da to ne bo prevelik problem...
frgo
# 27.02.2017 ob 08:22
Po pomoti sem prebral etnični heker, pa sem pomislil na tiste, ki razbijajo zaščito pri bakrenih žlebovih
tupamaross
# 27.02.2017 ob 15:18
Pred leti je nek fant v dogovoru s svojim dekletom preizkusil
varnostni sistem določene banke, kamor je udrl na dekletov
račun, ga izpraznil in to sporočil banki. Predlagal ji je, da mu
omogoči sodelovanje pri uvedbi novega varnostnega sistema.
Banka ga je zavrnila in ga prijavila policiji. Najel je odvetnika
in banki javno zagrozil, da bo razkril ranljivost njenega sistema,
če mu ne bo dala odškodnino, ker jo je opozoril na to.

Nekega dneva je prišlo sporočilo, da je naredil samomor(!?).
Njegov odvetnik, sicer zelo znan, je bil tiho.
clutch00
# 27.02.2017 ob 12:21
ironija, ko ti na vrhu kaze da www.rtvslo.si ni varovan
bluppo
# 27.02.2017 ob 11:56
Nehajte strašit ljudi. Zakaj bi napadalec naštudiral ravno nas, če nam nima česa vzeti???

Imaš bančni račun? Potem je že potencialno možno, da ti ima kaj vzeti. Sej bo preštudiral, če si smiselna tarča.

Aja. Pa ne samo račun. Si mogoče glavni pomočnik ali tajnica direktorja velike družbe? Si mogoče računovodja v računovodskem servisu mednarodnega podjetja? Si mogoče zaposlen na kakšnem ministrstvu. Če sami mislite, da vam nimajo kaj vzeti, ker nimate nič, še ne pomeni, da vas napadalec vidi tako. Vaše mnenje o sebi napadalcu ne pove čisto nič.
Prav je, da ljudje vedo, da se lahko to zgodi. Nekako je prav, da jih je tudi malo stran, potem bodo kdaj mogoče 2x premislili preden bodo nekaj naredili.

Moj nasvet vedno je, BERI BERI BERI. Večina je dovolj inteligentnih, da razume, kar je prebrala.
V idealnem svetu bi to bilo super ampak sta dve težavi, ki se kažeta predvsem v mlajših generacijah:
1. branje je nekaj tujega. Sploh, če je več znakov kot 128 ;)
2. posledično je bralno razumevanje na zelo nizkem nivoju. To bo povedal vsak osnovnošolski učitelj, preprosto ne znajo več izločiti bistva. Če je predolg sestavek ga ne preberejo oz. na polovici pozabijo kaj je bilo na začetku.
vnk
# 27.02.2017 ob 10:36
Definitivno bi bilo treba delati na ozaveščanju ljudi, da piratiziranje pomeni krajo. V tujini, ko se pogovarjaš z Američani ali drugimi Evropejci, je mentaliteta ljudi precej drugačna. To da snamete film s torrnetov je enako, kot če greste v trgovino in film ukradete, prvo stvar boste naredili brez premisleka, drugo pa ne, eno je kul, drugo vam pa niti na misel ne pade, da bi pod plašč stlačili dvd zadnjega filma in ga odnesli ven.

Joj, a res ni šlo brez te bedarije? Niti podrazno ni enako, ker v primeru kraje v trgovini si oškodoval trgovino, vzel si fizični produkt, torej ga ne bodo morali prodati drugi stranki. Poznam tudi cel kup Američanov in Evropejcev, ki bodo brez pomisleka dol potegnili torrent, seveda je pa ponavadi njihova kupna moč večja, tako da jim odšteti denar za plošček v primeru všečnega filma mnogo lažje. Pravtako se na lokalnih Amazonih, da dobiti bluraye v akcijah preklemano ugodno, medtem ko Slovenec plača še poštnino in iz Amerike ponavadi še DDV in stroške carinjenja pošti. Se spomnim, da je Muller pred leti ugodno prodajal bluray ploščke uvožene iz Nemčije, nato so jih pa zamenjali prevedni slovenski z mnogo bolj zasoljeno ceno. Potem pa da ne začnem o kretenizmu regijske distribucije, tam so spet cvetke, ko imaš v različnih državah na Netflixu različno ponudbo, razumem zakaj, a potrošniku v globalnem svetu je vseeno.
ElTorro
# 27.02.2017 ob 10:19
@Knight
Ljudje s(m)o se pripravljeni odpovedati varnosti v imenu udobja. Tudi meni so brezstične kartice negativna stvar iz teh varnostnih pomislekov in upam, da ne bo prišel dan, ko "navadne" ne bo več možno dobiti.

Ni nam problem imeti kartice, kjer nam lahko mimogrede izmaknejo nekaj denarja (nekateri jih celo dajo blagajniku v roko)...da ne rabimo enkrat dnevno vtipkati PINa. Zakaj potem zaklepamo vrata hiše? Če pa bi bilo toliko bolj enostavno preprosto samo iti ven.
hondica
# 27.02.2017 ob 09:53
Sporočilo članka: Hladilnik je pametnejši od našega predsednika.
samogledam
# 27.02.2017 ob 09:33
Ja, le kje so tisti lepi casi, ko smo studentje na SDKju rocno pisali na kartice...takoj si vedel kdo ni kaj placal, pa se delovne sile niso toliko rabil za vso birokracijo...jaz sem bil preprican leta 1986 ko sem kupil racunalnik da bo to pomocnik cloveku, danes vidim da to ni res.Lepo je ziveti tudi brez vse te navlake. Dober clanek, se clovek zamisli, do kam sega neumnost.
mend055
# 27.02.2017 ob 10:45
Odlična tema!
Tudi če se ne znajdeš dobro v tem strokovnem jeziku/področju. Pogrešam pa te ''zaščitne'' teme na večdnevni konferenci SIRIKT, ki je namenjena šolstvu in je vsako leto v Kranjski gori.
Tam se zdi, kot da gre predvsem za reklamiranje novih produktov s področja informacijske tehnologije, ki bi bili - morda - uporabni pri pouku v šolah. Pa nekaj primerov s šol je predstavljenih, kar je čisto v redu, le da so kakšni primeri res za lase privlečeni. Kot da učitelji morajo uporabljati tehnologijo - proces pa izgleda komično...

Na tej konferenci pa ni VEČ TEM S PODROČJA (NE)VARNOSTI, tako kot je današnja tu zgoraj. Ali komu to na SIRIKTU ne ustreza?
TCF
# 27.02.2017 ob 10:33
Uporabnik @GupeM je lepo povedal kar se brezsticnih kartic tice. Nekateri tu se bojite vsega.
mb128
# 27.02.2017 ob 09:05
Hehehe, ja ja, zanimivo bo, če/ko ti bo nekdo hekiral hladilnik, pečico pa to!
ElTorro
# 28.02.2017 ob 10:29
V banki sploh ni možno več dobiti nove kartice brez brezstičnega delovanja. Zakaj banke ne omogočajo izbire?

V Delavski sem pred mesecem dni brez težav dobil kartico ki nima brezstičnega poslovanja. To mi je trenutno pomemben faktor pri odločanju o tem, katero banko bom uporabljal, ker, kot praviš tudi sam, se mi preprosto ne da ukvarjati z nenehnim preverjanjem.
Moj bančni izpisek je dolg 4-6 strani (če bi ga natisnil), pregledam ga konec meseca, do takrat mi lahko z majhnim transakcijami izmaknejo kar lep znesek.

Nimam nič proti brezstičnim karticam....komur ustrezajo, super, naj jih ima. Meni osebno pa predstavljajo večje varnostno tveganje kot mi je vredno udobje, da za majhne zneske ne rabim pritisniti tistih 5 tipk.
karambo
# 28.02.2017 ob 06:02
GupeM
Če te je še vedno strah, v denarnico daj ALU folijo, in preko denarnice ti nihče ne bo mogel pobrati denarja. Že če nimaš ALU folije v denarnici, je kar težava prebrati preko denarnice.


S tem se močno ne strinjam. Zakaj bi moral jaz kot potrošnik povečevati lastno varnost, če inštitucija sistemsko to varnost znižuje? Zakaj bi moral sedaj pregledovati svoj TRR vsak mesec in iskati sumljive transakcije pod 15 EUR? Govorimo o nepotrebni porabi prostega časa, ko bi lahko delal, kar me veseli. Kdo mi bo ta čas plačal? Nočem SMS obveščanja ob plačevanju iz TRR. Če imam edini dostop do plačilnih sredstev, ga ne rabim. Ali bom še telekomom dajal podatke o svojemu osebnemu plačilnem prometu?

V banki sploh ni možno več dobiti nove kartice brez brezstičnega delovanja. Zakaj banke ne omogočajo izbire? Trenutno je omejitev 15 EUR. Kdo pravi, da potem, ko bodo žabo že na pol skuhali, ne bo 50 EUR,100 EUR, 1000 EUR. Če ne verjameš v ta scenarij se vprašaj, kaj se je zgodilo na področju bančnih provizij za plačilo računov preko elektrionske banke, dvigov gotovine na avtomatu, ... Nebodi naiven, da tu ne bo enako.

Vse pobude in praksa v povezavi z brezstičnim plačevanjem so korak v smer umika gotovinskega plačevanja, kjer boš hodil okoli s čipom v zadnji plati in brezstično plačeval s svojim virtualnim denarjem. čez naslednjih 10 let pa ti ga bodo lahko zasegli, če boš predstavljal motilni element proti vladajočim elitam.

Odlična prihodnost ja!
zozozo
# 27.02.2017 ob 15:26
Največji problem so ljudje sami, ker brez razmisleka klikajo da, da, da, naprej ...

Hmm, to je že delno res, ampak je pa tudi zelo priročen izgovor za državo in policijo.

Če bi se to dogajalo v bolj fizični obliki - recimo, da bi ob vhodu v trgovino ali pa dostopu do kakšne druge javno ponujene storitve od tebe zahtevali, da podpišeš komplicirano pogodbo, s katero v drobnem tisku dovoljuješ cel kup stvari, ki niso nikakor povezane s ponujeno storitvijo - bi sodišča take pogodbe razveljavila, mogoče pa še zraven zaprla kakšnega goljufa.
blayo
# 27.02.2017 ob 12:16
Ne samo da je AJPES tretjim osebam "omogočil" vpogled v zbirke osebnih podatkov, ampak ima poleg tega njihova podpisan komponenta, s katero državljani elektronsko podpisujemo pomembne dokumente, tako velike varnostne pomanjkljivosti, da bi njeno uporabo odsvetoval vsakomur, dokler je seveda ne nadomestijo.
artoum
# 27.02.2017 ob 11:15
bryden
Druga stvar, ki me je zmotila je pa dejstvo, da je AJPES baje bil predčasno opozorjen in je odgovoril da je napaka minorna in da je odpravljena. Šele nato je, po trditvah medija, prišlo do medijske objave. Če laže medij, naj kazensko odgovarja. Če laže AJPES naj odgovorni kazensko odgovarjajo.

sedajle si me spomnil na tistega reveža in nlb ............
bluppo
# 27.02.2017 ob 11:14
Lep članek ampak glede tega:

Namen napada naj bi bil opozoriti institucije javnega sektorja na ranljivosti v programski opremi, zgodbo pa je pompozno objavil eden izmed slovenskih medijev.. A način razpletanja zgodbe prek medijev ni pravi. Etični hekerji ne smejo "bombastično" udariti prek medijev, ker prav to lahko povzroči množične zlorabe, ampak se na varnostne luknje diskretno opozori, v tem primeru Ajpesu, da problem rešijo. Zadeva se lahko javno objavi pozneje, je komentiral Gabor

Pa sploh ni res. Napadalec in tisti pri mediju, ki so za napad vedeli so najprej opozorili lastnika in izvajalca in jim dali čas za popravek. Šele nato, so objavili zadevo - torej tipični "White hat" pristop. In glede na to, da gre za državno institucijo, ki bi morala take stvari še dodatno paziti sploh pri tako pomembnih registrih je to, da so objavili edino prav. Transparentnost mora biti v takih primerih ključna. Tako kot so to zagovarjali v mediju, ki je zadevo objavil (slo-tech.com).

Kako ste/so celotno zadevo povzeli drugi mediji pa je druga zgodba.

Sicer pri članku pogrešam vprašanje:
Ali ste tudi vi, pred zgodbo o "hacku" ajpesa v medijih preverili njihovo spletno stran? Ali ste zaznali kakšne težave? Ali ste jih o tem obvestili? Če so na vse pritrdilni odgovori zakaj pri Ajpesu zadeve niso uredili pred tem javnim "hackom".

Jaz nikakor ne razumem prednosti brezstične kartice. Pri plačevanju s klasično čip kartico, le-to vtaknem v režo, da imam roke proste za vnos varnostne kode.
Dobra lastnost brezstičnih je ta, da jih ni treba dajati od sebe. Malo je takšnih trgovcev, ki imajo čitalnik postavljen tako, da sam vtakneš kartico - večinoma jo moraš dati v roke prodajalcu. In na tak način se preko kartice prenaša vse živo iz rok na roke. Tako kot pri denarju. Brez pina je itak samo do določenega zneska (15€). Plačilo je hitrejše in bolj "sanitarno".

nepridiprav lahko kar na cesti s prenosnim terminalom brezstično seže v žep in izprazni transakcijski račun.
Ne, ne more. Kot povedano brez pina je samo do določene vsote. Pa tudi vsaka kartica ima blokado zneska.

Tako kot vsaka tehnologija pa imajo dobre in slabe lastnosti.

Pogrešam pa te ''zaščitne'' teme na večdnevni konferenci SIRIKT, ki je namenjena šolstvu in je vsako leto v Kranjski gori.

Kot fakultativne vsebine bi lahko bile. Ampak naloga zavarovanja sistema je na "sistemcu", ne na učiteljih. SirIKT je namenjen spoznavanju učiteljev s tehnologijami, ki jih omogočajo/olajšajo/izboljšajo sodobne pristope k učenju, ne pa varnostna konferenca. Pri učiteljih ne pomagajo opozorila "ne vtikaj ključka povsod", "ne klikaj na vse kar vidiš" ipd. (iz lastnih izkušenj) tako kot pri mnogo ljudeh. In če si teh stvari ne morejo zapomniti nima smisla, da bi se govorilo o naprednejših tematikah zlorabe. Sicer pa, na SirIKT lahko vsakdo (delavec v izobraževanju) napiše svoj članek oz. naredi delavnico in prijavi. Če ni takih vsebin se je treba najprej zazreti v svoje kroge.

25kur. to bom storil na istem zavihku.
a bodo mmc strežniki res shranili kam grem , 25 kur pa shranili od kje sem prišel? rekel je, da je treba odpirat na novem zavihku, če tega nočem.

Mogoče. Odvisno os piškotkov, ki jih uporabljajo. Neposredno sicer ne - če si na rtvslo.si in potem v naslov vtipkaš 24ur.com ne bi smela vedeti. Če pa greš na google in vtipkaš 24 ur potem pa klikneš na prvi link, bo 24ur.com vedel, da prihajaš iz googla.
Če strani uprabljajo isti tip piškotka (npr. nekega zunanjega ponudnika), ki beleži kje si bil in imata oba dostop do njega potem pa je že bolj mogoče. Neglede na zavihke važno je samo, da je isti brskalnik - med obiski je lahko tudi več dni.

Svet deluje na zaupanje, kajti nihče ne more v popolnosti imet pod nadzorom vseh aspektov in spremenljivk svojega življenja.

To že, ampak če imaš vhodna vrata je dobro, da se pred dopustom prepričaš, da so zaklenjena oz. vsaj zaprta. Če pustiš ob odhodu na dopust vhodna vrata na stežaj odprta ne se preveč čudit, če ti ob vrniti kaj manjka v hiši.
bryden
# 27.02.2017 ob 11:03
Predvsem o "ne-anonimnih" prijavah bi lahko omenili šikaniranje prijaviteljev v zadnjem času. Tako da popolnoma razumem skrbi in zakaj je bil AJPES prijavljen anonimno.

Druga stvar, ki me je zmotila je pa dejstvo, da je AJPES baje bil predčasno opozorjen in je odgovoril da je napaka minorna in da je odpravljena. Šele nato je, po trditvah medija, prišlo do medijske objave. Če laže medij, naj kazensko odgovarja. Če laže AJPES naj odgovorni kazensko odgovarjajo.
GupeM
# 27.02.2017 ob 10:33
@ElTorro: Odklenjena vrata niso isto kot "rahlo odklenjena kartica." Avto in vrata hiše že zakleneš, kljub temu pa ti lahko ukradejo gume na avtu, ali kaj drugega, kar imaš nekje pri hiši in ni pod ključem. Recimo drva ali cisterno v katero zbiraš kapnico. Celo zelenjavo na vrtu. Nekje je treba potegniti črto in rezkirati, saj se tudi tatovom v večini teh primerov ne splača reskirati da jih ujamejo, za 4 gume ali kubik drv. Tako kot se jim ne splača reskirati za 15€.
karambo
# 28.02.2017 ob 06:07
vnk
Če bi bile takšen velik rizik, jih banke verjetno ne bi uvedle, saj vsaka zloraba za banko predstavlja strošek. Manjše ko je zaupanje v plačilno sredstvo, manj ljudi ga bo uporabljajo, bolj je priročno, več se ga bo uprabljalo, več provizije dobijo.


Oprosti. Če mi ob izdaje nove plačilne kartice ponudijo izbiro med obstoječo in brezstično, bi se strinjal s tabo. Tako pa dobiš privzeto brezstično kartico. Na bančni podpori se jim sanja ne ali lahko dobiš navadno kartico namesto tega oz. povejo, da to ni mogoče. Torej se no način plačevanja vsiljuje brez možnosti, da ga odkloniš. Seveda si lahko brez kartice, ampak potem imaš manj kot sedaj. Torej tvoja trditev o zaupanja v plačilno sredstvo ne zdrži.
pero-perica
# 27.02.2017 ob 21:01
404 Not Found-a vm je kdo server sesu
anny22
# 27.02.2017 ob 12:47
Zanimivo bo postalo, ko bodo mikrovalovke napadale ameriški FBI, toaster bo streljal po kitajski vladi, hladilnik pa bo grafite pisal na spletni strani predsednika Slovenije.

Na tej točki me je zlomilo od smeha. :)
vnk
# 27.02.2017 ob 11:10
artoum:

https://en.wikipedia.org/wiki/HTTP_refer
er
mb128
# 27.02.2017 ob 11:01
Gupe M
Glede tega. V tujini se dajo dobiti posebni ovitki, ki blokirajo sevanje. Če se ne motim je te ovitke možno kupiti tudi v spletnih trgovinah. Glede tega so Nemci delali paniko že pred leti še preden so se takšne kartice sploh pojavile pri nas.
vnk
# 27.02.2017 ob 10:41
Meni je brezstična kartica v žepu, skupaj z novim prailom o plačevanju malih zneskov brez PIN kode od samega začetka predstavljalo varnostni rizik

Če bi bile takšen velik rizik, jih banke verjetno ne bi uvedle, saj vsaka zloraba za banko predstavlja strošek. Manjše ko je zaupanje v plačilno sredstvo, manj ljudi ga bo uporabljajo, bolj je priročno, več se ga bo uprabljalo, več provizije dobijo.

Konec koncev pa avto tudi daljinsko odklepamo že dolgo časa, pa noben paranoje ne zganja,.
arogantnež
# 27.02.2017 ob 08:49
Zadnje čase razsaja izsiljevalski virus, ki zaklene računalnik, nepridipravi pa nato zahtevajo odkupnino..
Večino jih je zelo težko oziroma skoraj nemogoče shekat ali odklenit, ker uporabljajo res napredne metode kriptografije.


Pri konkurenci (@KKorupcija) pravijo nasprotno.
partibrejker
# 28.02.2017 ob 08:44
Kkorupcija
Kje spis, da te ne ukradejo?
Lockerja cel svet ni uspel odkleniti, vkljucno z "resnimi blogi", ampak tebi je pa ratalo? In to iz recycle bina? :-)
No, bom vedel na koga naj se obrnem primeru, ce ga dobim
karambo
# 28.02.2017 ob 06:19

Napadi v polomljeni angleščini ne bodo uspešni, če pa nas napadalec naštudira s pomočjo družbenih omrežij, se lahko zdi, da sporočilo prihaja kar od šefa v službi, in ko klikneš na priponko, je konec.

binder dandet
Nehajte strašit ljudi. Zakaj bi napadalec naštudiral ravno nas, če nam nima česa vzeti???


Tukaj gre za usmerjene napade. Verjetno ne bodo napadli sosedovega Tončka, za katerega se ve, da ima minimalno pokojnino. Tako da je opozorilo čisto na mestu. Lahko govorimo tudi o konkurenčnem podjetju, ki želi priti do podatkov. S tem se krog potencialnih tarč zelo močno razširi.
karambo
# 28.02.2017 ob 06:13
arogantnež
Z vidika varnosti je "nevarno" tudi prepogosto vpisovanje PIN številk. Večkrat ko jo vpišeš, večja je možnost, da si bil žrtev skimmerja. Zato za manjše zneske vpisovanje PIN-a ni smotrno.


Povej mi ti, katera množica ljudi je večja: število ljudi, ki imajo dostop do tvoje kreditne kartice (ki jo v 99,5% primerov pred natakarjem/trgovcem vtakneš v standardno napravo in vpišeš PIN) ali število anonimnih neznancev, ki jih srečaš v javnem prostoru in lahko predstavljajo potencialno grožnjo za zlorabo brezstične kartice. Ko bova ugotovila to dejstvo greva lahko potem dalje.
MintUporabnik
# 27.02.2017 ob 21:51
Robert Škulj - prvi slovenski etični heker - zapor, mrtev.
http://www.24ur.com/novice/slovenija/do-programa-s-pomocjo-policije.html

Dejan Ornig - zapor, na prostosti, živ.
https://www.rtvslo.si/crna-kronika/preiskava-pri-studentu-ki-je-razkril-ranljivost-sistema-tetra/364003

Slovenski etični hekerji so po večini mrtvi ali v zaporu!
Tako da ni čudno, da jih primanjkuje - saj ljudje niso nori, da bi za par evrov nosili glavo na pladnju!
bluppo
# 27.02.2017 ob 19:33
Viris nam sicer ne predstavlja konkurence, drži pa, da še nikomur nismo svetovali naj plača odkupnino, temveč smo v 100% primerih odpravili okužbo in uspešno restavrirali zahtevane podatke Pa ne gre za kripto viruse, za katere obstajajo dekriptorji, temveč je ključ v enostavnem in racionalnem pristopu k reševanju problema. Dobro spisan kriptovirusov je prekleto malo, tudi tako opevani locky in teslacrypt imata pomanjkljivosti..

A vi to resno? Kako pa ste razbili šifriranje? Zanimivo, ko večina varnostnih raziskovalcev pravi, da je najbolj smiselna pot plačilo odkupnine, ker je ostalo malo verjetno uspešno. Mogoče pa ste imeli srečo, da so vas napadli s katerim od tistih lockerjev, za katere so potem prišli odklepi od programerjev samih?

Kako je kriptovirus spisan ni ravno bistveno, če ti podatke pošifrira s sha256, a ne? Če nimaš ključa ne moreš praktično nič. Dajte se malo razpisat o tem, kakšen članek. pa prevedite ga, bo sigurno hit v svetovnem merilu.
ElTorro
# 27.02.2017 ob 16:20
Hofer, Lidl, McDonalds itn. V tujini pa imajo večinoma pose obrnjene proti strankam

V Hoferju in Lidlu vedno vtaknem kartico v POS terminal sam. Za McDonalds težko komentiram, ker sem tam 1x letno, v tujini pa te praviloma res čudno pogledajo, če jim hočeš dati kartico v roke.
ElTorro
# 27.02.2017 ob 13:53
Večkrat ko jo vpišeš, večja je možnost, da si bil žrtev skimmerja

Nisem še slišal, da bi skimmerje nameščali na POS terminale v lokalih in trgovinah. Precej težko ga je že namestiti (ker je pač ves čas pod nadzorom), kaj šele potem neopaženo spremljati vnose PINov.
mb128
# 27.02.2017 ob 11:57
Glejte glede spletnih prevar je čisto preprosto. Dogajajo se tudi zato ker nekateri ljudje še dandanes ne vedo kaj sploh lahko nekdo terja preko spleta. Razlika je vidna čeprav je potrebno dobro pogledati že sam url. Npr. nkbm ima spletno stran z url nkbm.si. Navihanec, da se tako izrazim, pa odpre spletno stran nkbm.com. Skratka če zagledate kaj takega v vaši e pošti vam mora že takoj v samem štartu biti jasno da je tukaj nekaj pošteno narobe in lahko sporočilo, ki se konča s priponko nkbm.com zbrišete v trenutku.
arogantnež
# 27.02.2017 ob 11:38
@Knight Kant,
Jaz nikakor ne razumem prednosti brezstične kartice.

Z vidika varnosti je "nevarno" tudi prepogosto vpisovanje PIN številk. Večkrat ko jo vpišeš, večja je možnost, da si bil žrtev skimmerja. Zato za manjše zneske vpisovanje PIN-a ni smotrno.

Kako iznajdljivi so nepridipravi, si lahko pogledaš tule. Naprave, kot je tista Ingenico-va (zadnji post), se uporabljajo tudi pri nas.
abzng
# 27.02.2017 ob 09:18
MilanaG zelo dobro poznam in se mu tako zahvaljujem, da je svoje široko znanje delil z nami. Ta članek bi moral prebrati vsakdo, ki je kdaj že poslal kako e-sporočilo, da ne govorimo o Fejsbuki.
Skratka - ljubi so-komentatorji - če vam je članek všeč ga širite in marsikomu boste prihranili kako muko ter polepšali dan.
KunteKinte
# 02.03.2017 ob 05:06
NFC je za mene bolj problematičen zaradi podatkov o moji uporabi... profilirajo te v nulo..
brezstično NFC.. banke forsirajo zaradi manjših stroškov plačevanja..in večje zapravljivosti...
ni fizičnega dnarja..ne rabiš osebja za štet denarja..ne rabiš prevoza--blindiranega vozila..varnostnikov itd..

Samo pamet v roke.. drugač te te strokovnjak za varnost informatiko..ostriže kot ovco :) govorim za podjetja...

Res me zanima kok stane ugotavljanje identitete prek TOR a ali VPN ja..predvidevam da je treba imeti čas..denar in dober team strokovnjakov da se s temi stvarmi hecaš.. mogoče se splača za kake islamske skarjneže.. in hude kriminalce
Pastafarian
# 28.02.2017 ob 19:47
Potem pa torente primerja s krajo, strokovnjak je že za svoje področje, je pa intelektualno precej šibek, če v to resnično verjame, da se lahko piratizacija za osebno rabo kar enači s krajo. Ni to črno/belo področje, kjer kar take na prvo žogo ven mečeš in pričakuješ, da te bodo jemali resno.
Kazalo